Să presupunem că partea clientului are o parolă secretă $\pi$. Serverul are o serie de indici $0..n-1$ și o valoare asociată sării $s_i$ pentru toți $i \in \{0,n-1\}$ numiți-o set $S=\{s_i |
i \in \{0,n-1\}\}$ pentru fiecare client. Clientul dorește să calculeze o funcție OPRF $f(\pi,s)$ astfel încât să nu învețe $s$ iar serverul nu invata nimic. Pentru asta face OPAQUE $f(\pi,s)=H(\pi,H'(\pi)^s)$ Unde $H'$ hashuri la un element de subgrup.Pentru că serverul îi vede doar pe cei orbiți $H'(\pi)$ care este un element de grup aleatoriu, își poate simula vizualizarea și indiferent de câte interogări face clientul, nu învață niciodată $s$.
Dar trebuie să fac un pas mai departe și să cer ca acesta să permită conectarea anonimă. Adică am nevoie de o funcție $g(i,\pi,S)=f(\pi,s_i)$ astfel încât serverul nu învață nimic despre nici unul $i$ sau $\pi$ iar clientul nu învață nimic altceva despre $S$ sau despre orice alte elemente din $S$. Cel puțin nu $f(\pi,s_j)$ pentru altul $j$ care vă permite să vizați mai multe conturi în același timp cu atacuri de forță brută/dicționar.
O modalitate de a face acest lucru pentru aceeași funcție ca și în OPAQUE este utilizarea OPAQUE împreună cu transferul neglijent. Clientul nu trebuie să trimită multe valori în același timp, dar pur și simplu folosirea OT aici înseamnă că serverul trebuie să efectueze sfârșitul calculului $f(\pi,s_i)$ pentru fiecare $i$ adică $n$ exponențiații/înmulțiri scalare și necesită a trimite $n$ cifrează textele de fiecare dată când un client încearcă să se autentifice. Și acest lucru este în afara calculelor implicate cu OT în sine. La urma urmei, OT poate fi folosit pentru a transfera mesaje arbitrare, nu doar pentru a calcula unele funcții $n$ textele cifrate în general este justificată. Dar acest lucru nu ar fi practic aici.
Deci, știe cineva vreo lucrare în acest sens sau face ceva care poate realiza acest lucru mai eficient în timp constant sau cel puțin subliniar al numărului de clienți pentru a fi practic. Poate fi ceva care folosește un acumulator în $S$ care poate fi precalculat sau ceva. Nu trebuie să fie aceeași funcție ca în OPAQUE, orice cu proprietățile de mai sus funcționează.
EDIT: Nu sugerez să efectuați complet OPAQUE în mod anonim, care, deoarece deține ID-ul clientului criptat, cheia DH privată și cheia publică DH a serverului necesită ca OT să funcționeze în mod anonim. Dar faceți doar calculul OPRF în mod anonim și efectuați restul schimbului de chei separat.